44 miljoner Microsoft- och Azure-användare fortsätter att använda överträdda lösenord, nya studieresultat

Onlineföretag och -tjänster lider dagligen av referensstoppningsattacker, och konsekvenserna är ofta ganska allvarliga. Hotet är nära och säkerhetsspecialister kommer inte att sluta prata om det. Något måste tydligt göras, och för att bättre kunna förstå vad som händer undersöker säkerhetsleverantörer människors lösenordshanteringsvanor. Tyvärr, ju mer de gör det, desto mer inser vi att det inte troligt kommer att försvinna vederbörande stoppning snart.

Tidigare i år, till exempel, försökte experter från Microsoft att lära sig mer om vad människor gör för att skydda sina Azure-konton, och efter att ha gått igenom sina resultat kan vi dra två stora slutsatser. Den första är att det aldrig har varit enklare att dra en framgångsrik stoppningsattack. Den andra är att användare inte är helt medvetna om hur hemska konsekvenserna kan vara.

Mer än 44 miljoner Microsoft-kunder tyckte använda tidigare komprometterade lösenord

Microsofts studie började i januari 2019 då experterna tog en samling av 3 miljarder användarnamn och lösenordspar som stulits från olika onlinetjänster och plattformar. De testade dem sedan mot en lista med referenser som skapats av Azure AD- och Microsoft Services-användare och hittade en match med över 44 miljoner konton.

Med andra ord, tillbaka under det första kvartalet i år kunde alla som hade tillgång till de 3 miljarder stulna inloggningsuppgifterna lätt ha tagit över räkningarna för mer än 44 miljoner människor. Det låter nästan för skrämmande för att vara sant, och vi är ganska säkra på att några av er redan har tagit fram ett finger i invändning. De kan säga att det skulle vara omöjligt att få 3 miljarder användarnamn och lösenordskombinationer för din vanliga cybercrook. Tyvärr är detta långt ifrån sanningen.

Stulna inloggningsuppgifter säljs på mörka webbmarknadsplatser och hackingforum för jordnötter, och nyligen gjorde en cyberkriminell grupp ett enkelt konfigurationsfel och visade att ibland allt som står mellan en hacker och en massiv inloggningsdata är en enkel sökfråga.

Sammantaget är det inte så svårt att organisera ett referensstopp i denna dag och ålder alls, och användarnas försummelse gentemot lösenordssäkerhet innebär att det med all sannolikhet kommer att vara mycket effektivt. Men vad kan vi göra för att ändra detta?

Microsoft tvingar återställning av lösenord för kunder som använder komprometterade lösenord

Efter att ha sett siffrorna tvingade Microsoft omedelbart en återställning av lösenord för alla som använde komprometterade referenser. Genom att ogiltigförklara de överträdda lösenorden lägger det ett ganska stort hinder framför alla som försöker sätta igång en fullständig stoppningsattack på Azure-användare. Tyvärr kan det aldrig räcka för att lösa problemet helt.

För en, som en annan ny studie visar, tenderar ungefär hälften av människor att lätt ändra sina gamla lösenord när de tvingas uppdatera dem. Och även om de går igenom besväret med att skapa ett nytt lösenord, är chansen att de sedan kommer att fortsätta och återanvända det på andra konton.

Credential stuffing förlitar sig på dålig lösenordshantering, och fakta visar att människor helt enkelt inte vet hur de ska hantera sina inloggningsdata korrekt. Medvetenhet är det enda som verkligen kan vända borden. Om människor vet hur de ska skydda sina konton på rätt sätt och om de är bekanta med de verktyg de har till sitt förfogande kommer de mycket mer benägna att undvika att göra samma gamla misstag.

Tyvärr, även om ansträngningarna att utbilda Joe och Joanne Average är enorma, visar Microsofts studie och andra liknande undersökningar att framstegen är oerhört långsam.